¿Qué es la respuesta a incidentes?

La respuesta a incidentes busca identificar rápidamente un ataque, minimizar sus efectos, contener los daños y corregir la causa para evitar incidentes futuros.

Definición de la respuesta a incidentes

Casi todas las empresas tienen, en algún nivel, un proceso de respuesta a incidentes. Sin embargo, para aquellas empresas que buscan establecer un proceso más formal, deben plantearse las siguientes preguntas pertinentes:

¿Cuáles son los pasos para activar a las partes responsables involucradas en la respuesta a un incidente en caso de que se produzca uno?
¿Qué nivel de exhaustividad y especificidad debe tener el plan de respuesta?
¿Cuenta con suficientes personas (que sean apropiadas) para responder adecuadamente?
¿Cuáles son sus acuerdos de nivel de servicio (SLA) aceptables para responder a un incidente y volver a las operaciones normales?

Lo más probable es que las respuestas a estas preguntas no sean óptimas, ya que, según un estudio de Ponemon Institute, la mayoría de las empresas se quedan cortas en una o más áreas:

77 % de las empresas no cuentan con un plan formal aplicado de forma coherente.

57 % indican que las respuestas están siendo más tardías.

77 % afirman que tienen dificultades para contratar personal de seguridad y retenerlo.*

De media, se tardan 214 días en identificar un ataque malicioso o delictivo y 77 días en contenerlo y recuperarse. Está claro que se necesita una mejor gestión de la respuesta a incidentes para proteger completamente a las organizaciones frente al número cada vez mayor de amenazas a las que se enfrentan cada día.

* Estudio de IBM: Responder a los incidentes de ciberseguridad sigue siendo un gran desafío para las empresas.

Aspectos generales sobre la seguridad de VMware

VER AHORA

La administración de Biden ordena a los organismos federales que apliquen parches a las vulnerabilidades conocidas

MÁS INFORMACIÓN

El ABC de la respuesta a incidentes

A. El equipo adecuado. Para ofrecer la respuesta más eficaz a los incidentes, los expertos del sector sugieren incluir en el equipo las funciones que se detallan al final de este párrafo, independientemente del tamaño de su empresa. Obviamente, el equipo técnico tomará la iniciativa, pero hay otras áreas funcionales en su empresa que deberían estar presentes, especialmente si se produce un ataque grave. Una vez que se identifique a las personas para estas funciones, explíqueles cuál sería su responsabilidad en caso de que se produjera un ataque grave y diseminado con ramificaciones generalizadas. Hablamos de funciones como las de expertos en respuesta a incidentes, análisis de seguridad, TI, investigación de amenazas, asuntos legales, recursos humanos, comunicaciones corporativas, gestión de riesgos, ejecutivos y forenses de seguridad externos.

B. El plan adecuado. Un plan integral de respuesta a incidentes incluye como mínimo las siguientes tácticas y procesos:

Preparar al equipo para hacer frente a cualquier tipo de amenaza.
Detectar e identificar el tipo y la gravedad de un incidente una vez que se ha producido.
Contener y limitar los daños.
Determinar su repercusión y los riesgos asociados.
Encontrar y eliminar la causa principal.
Mitigar y solucionar el ataque.
Analizar y modificar el plan tras un ataque para evitar otros ataques en el futuro.

La comunicación es clave cuando se produce un ataque, así que asegúrese de establecer un buen flujo de comunicación como parte de su plan de respuesta.

C. Las herramientas adecuadas. Debido a un número cada vez mayor de ataques desconocidos, las herramientas adecuadas pueden ahorrar mucho tiempo y dinero a su empresa, y ayudarán a proteger a sus clientes y su fidelidad a la marca.

La información es un recurso fundamental para cualquier plan de respuesta a incidentes. Por este motivo, una solución de seguridad de terminales basada en la nube suele proporcionar las herramientas más completas para mitigar los ataques de la manera más rápida, incluido el acceso a datos mediante los siguientes mecanismos:

La captura de datos sin filtrar proporciona a los equipos de respuesta información sobre el comportamiento de los terminales, no solo los patrones y comportamientos de ataque detectados previamente. Esta es la clave para acortar la investigación de un ataque de días a minutos, especialmente teniendo en cuenta la cantidad cada vez mayor de métodos de ataque desconocidos que se utilizan en la actualidad.
El análisis de datos proporciona visibilidad de toda la actividad de los terminales, tanto la actual como la histórica. Los datos adecuados permiten ver dónde se inició el ataque e identificar la ruta que siguió, todo lo cual ayudará a corregirlo más rápidamente.
La inteligencia para la detección de amenazas externas ayuda a identificar rápidamente las amenazas que todavía no ha detectado su organización, pero sí lo han hecho otras empresas. Una vez más, si sabe a qué se enfrenta, puede responder más rápido.
Las funciones de respuesta en directo le ayudan a corregir los terminales remotos y eliminar la creación innecesaria de imágenes.

Tercer estudio anual de IBM sobre la organización ciberresiliente

Panorama del sector: ¿es la externalización la solución a una respuesta a incidentes deficiente?

Casi todos los estudios sobre los desafíos de seguridad a los que se enfrentan las empresas incluyen estadísticas sobre la dificultad de contratar y retener personal de seguridad cualificado, al igual que el 77 % de las personas que participaron en el estudio de Ponemon. Hay una escasez de casi dos millones de personas en puestos de seguridad esenciales que se está expandiendo rápidamente a nivel mundial.

La falta de personal de seguridad adecuado puede afectar gravemente a la respuesta a cualquier incidente, hasta el punto de que las empresas buscan externalizar funciones de seguridad como esta. De hecho, Gartner creía que el gasto en servicios de externalización de seguridad superaría los 18 000 millones de dólares en 2018, el segundo segmento de gasto en seguridad más importante después de la consultoría.

Dada la dificultad de contratar a las personas adecuadas, esto tiene sentido, porque un servicio gestionado puede cubrir rápidamente cualquier carencia que haya en su equipo de seguridad. Este sistema puede ayudarle a priorizar las alertas, descubrir nuevas amenazas y acelerar las investigaciones. Estos servicios suelen estar integrados por expertos en amenazas altamente cualificados que pueden supervisar constantemente el entorno de su empresa, identificando las amenazas emergentes y proporcionando acceso a los servicios de seguridad esenciales cuando su equipo necesita más ayuda.

* Gartner había previsto que el gasto mundial en seguridad alcanzara los 96 000 millones de dólares en 2018, un 8 % más que en 2017.

La respuesta: Las personas, el plan y las herramientas adecuados, más el proveedor adecuado

Aun contando con las personas, el plan y las herramientas adecuados, todavía existe la posibilidad de que algo se nos escape. ¿Qué necesidad hay de correr ese riesgo? Trabajar con un proveedor adecuado que pueda ofrecerle una plataforma de seguridad de terminales basada en la nube, así como funciones de persecución de amenazas avanzadas, puede ser de ayuda.

Como se ha mencionado anteriormente, los expertos en persecución gestionada de amenazas pueden supervisar su entorno y notificar a su equipo de cualquier amenaza emergente. Estos expertos pueden:

Analizar, validar y priorizar las alertas para dar paso a las acciones adecuadas.
Identificar las primeras señales y tendencias de alerta, y envíe alertas de forma proactiva para garantizar una respuesta fiable.
Descubrir las causas, con planes que proporcionan contexto adicional para optimizar las investigaciones y el análisis de la causa principal.

Un equipo experto en persecución de amenazas también puede ofrecerle cobertura y clasificación de amenazas en todos los terminales para que su equipo pueda centrarse en las alertas más importantes. Además, tendrá acceso a inteligencia global para la detección de amenazas que le ayudará a ir un paso por delante de futuros ataques.

Recomendamos

Inteligencia para la detección de amenazas

Cortafuegos de nueva generación

Realidad del entorno multi-cloud actual: caos en la nube

El 87% de las empresas utilizan dos o más entornos de nube para ejecutar sus aplicaciones. El entorno multi-cloud acelera la transformación digital, pero también genera complejidad y riesgos, lo que resulta en una realidad caótica para muchas organizaciones.

Domine el caos en la nube con VMware Cross-Cloud Services

Anywhere Workspace

Plataforma de aplicaciones

Infraestructura de nube y perimetral

Gestión de la nube

Hipervisor de escritorio

Red y seguridad

Ejecute VMware en cualquier nube, entorno y lugar

En nubes híbridas y públicas

En nubes privadas y locales

Soluciones

Por sector

Soluciones de IA de VMware

Para los clientes

Para los partners

Colabore con partners en beneficio de los clientes

Herramientas y formación

Servicios

Soporte

Marketplace

Blogs y comunidades

Clientes

Eventos

Aspectos generales sobre la seguridad de VMware

La administración de Biden ordena a los organismos federales que apliquen parches a las vulnerabilidades conocidas

Productos y soluciones relacionados